/qqxiaochengxu/
QQ小程序 用户信息
  1. QQ小程序 介绍
    1. QQ小程序 亮点
    2. QQ小程序 开放能力
    3. QQ小程序 接入流程
    4. QQ小程序 社交能力
    5. QQ小程序 私域流量运营
  2. QQ小程序 设计原则
    1. 设计原则 易用性
    2. 设计原则 一致性
    3. 设计原则 尊重用户
    4. QQ小程序 设计组件
    5. QQ小游戏 设计规范
  3. QQ小程序 开发
    1. 配置
      1. QQ小程序 目录结构
      2. QQ小程序 全局配置
      3. QQ小程序 页面配置
    2. 逻辑层
      1. QQ小程序 逻辑层
      2. QQ小程序 注册程序
      3. QQ小程序 场景值
      4. QQ小程序 注册页面
      5. QQ小程序 路由
      6. QQ小程序 模块化
      7. QQ小程序 API
    3. 视图层
      1. QQ小程序 视图层
      2. QQ小程序 QML
      3. QQ小程序 QSS
      4. QQ小程序 基础组件
      5. QQ小程序 QML节点信息
      6. QQ小程序 响应显示区域变化
      7. QQ小程序 动画
    4. 自定义组件
      1. QQ小程序 自定义组件
      2. QQ小程序 组件模板和样式
      3. QQ小程序 Component构造器
      4. QQ小程序 使用 Component 构造器构造页面
      5. QQ小程序 组件间通信与事件
      6. QQ小程序 组件生命周期
      7. QQ小程序 behaviors
      8. QQ小程序 组件间关系
      9. QQ小程序 抽象节点
      10. QQ小程序 自定义组件扩展
    5. 基础能力
      1. QQ小程序 网络
      2. QQ小程序 存储
      3. QQ小程序 文件系统
      4. QQ小程序 Canvas画布
      5. QQ小程序 分包加载
      6. QQ小程序 多线程Worker
      7. QQ小程序 自定义 tabBar
      8. QQ小程序 周期性更新
      9. QQ小程序 数据预拉取
      10. QQ小程序 CDN资源预加载
    6. 硬件能力
    7. 插件
      1. QQ小程序 开发插件
      2. QQ小程序 使用插件
      3. QQ小程序 插件调用 API 的限制
      4. QQ小程序 插件使用组件的限制
    8. 开发能力
      1. QQ小程序 用户信息
      2. QQ小程序 打开 App
      3. QQ小程序 消息
      4. QQ小程序 获取小程序码
      5. QQ小程序 订阅消息
    9. 可用性
      1. QQ小程序 调试
      2. QQ小程序 小程序的运行环境
      3. QQ小程序 运行机制
      4. QQ小程序 性能
    10. 基础库
      1. QQ小程序 版本分布
      2. QQ小程序 低版本兼容
  4. QQ小程序 云开发
    1. QQ小程序 云开发简介
    2. QQ小程序 第一个云开发小程序
    3. QQ小程序 云开发能力
    4. QQ小程序 重要概念
    5. QQ小程序 与开发控制台
    6. QQ小程序 初始化
    7. QQ小程序 存储
    8. 数据库
      1. QQ小程序 数据库上手
      2. QQ小程序 数据类型
      3. QQ小程序 权限控制
      4. QQ小程序 增删改查
      5. QQ小程序 更新数据
      6. QQ小程序 索引管理
    9. 云函数
      1. QQ小程序 我的第一个云函数
      2. QQ小程序 异步返回结果
      3. QQ小程序 使用nmp
      4. QQ小程序 在云函数中使用 qq-server-sdk
      5. QQ小程序 在云函数中使用 tcb-admin-node
      6. QQ小程序 定时触发器
      7. QQ小程序 注意事项 & FAQ
      8. QQ小程序 在开发者工具中管理云函数
      9. QQ小程序 测试、日志与监控
    10. 云开发拓展能力
      1. QQ小程序 使用说明
      2. QQ小程序 在云函数中使用
      3. QQ小程序 在小程序中使用
      4. QQ小程序 图像处理
      5. QQ小程序 图像安全审核
      6. QQ小程序 图像盲水印
      7. QQ小程序 图像标签
    11. 小程序端SDK
      1. QQ小程序 Cloud
      2. QQ小程序 qq.cloud.init
      3. QQ小程序 qq.cloud.callFunction
      4. QQ小程序 qq.cloud.uploadFile
      5. QQ小程序 qq.cloud.deleteFile
      6. QQ小程序 qq.cloud.getTempFileURL
      7. QQ小程序 database
      8. QQ小程序 Database实例
      9. QQ小程序 Document
      10. QQ小程序 Collection
      11. QQ小程序 Command
      12. QQ小程序 AggregateCommand
      13. QQ小程序 Geo
    12. 服务端SDK
      1. QQ小程序 Cloud
      2. QQ小程序 init
      3. QQ小程序 DYNAMIC_CURRENT_ENV
      4. QQ小程序 callFunction
      5. QQ小程序 uploadFile
      6. QQ小程序 downloadFile
      7. QQ小程序 deleteFile
      8. QQ小程序 getQQContext
      9. QQ小程序 Database(index)
      10. QQ小程序 Database
      11. QQ小程序 Document
      12. QQ小程序 Collection
      13. QQ小程序 Collection
      14. QQ小程序 Command
      15. QQ小程序 AggregateCommand
      16. QQ小程序 Geo
    13. QQ小游戏 开发
      1. QQ小游戏 框架
      2. QQ小游戏开发 服务端
  5. QQ小程序 工具
    1. QQ小程序开发者工具 说明与下载
    2. QQ小程序 命令行调用
    3. QQ小程序 HTTP调用
    4. QQ小程序 CL构建
  6. QQ小程序 运营
    1. QQ小程序 平台运营规范
    2. QQ小程序 主体认证
阅读(539) (11)

QQ小程序 用户信息

2020-07-03 14:21:08 更新

小程序登录

小程序可以通过QQ官方提供的登录能力方便地获取QQ提供的用户身份标识,快速建立小程序内的用户体系。

登录流程时序

说明:

  1. 调用 qq.login() 获取 临时登录凭证code ,并回传到开发者服务器。
  2. 调用 code2Session 接口,换取 用户唯一标识 OpenID 和 会话密钥 session_key。

之后开发者服务器可以根据用户标识来生成自定义登录态,用于后续业务逻辑中前后端交互时识别用户身份。

注意:

  1. 会话密钥 session_key 是对用户数据进行 加密签名 的密钥。为了应用自身的数据安全,开发者服务器不应该把会话密钥下发到小程序,也不应该对外提供这个密钥。
  2. 临时登录凭证 code 只能使用一次

UnionID 机制说明

如果开发者拥有多个移动应用、网站应用、小程序,可通过 UnionID 来区分用户的唯一性,因为只要是QQ互联帐号下的移动应用、网站应用、小程序,用户的 UnionID 是唯一的。换句话说,同一用户,对同一个QQ互联平台下的不同应用,unionid是相同的。

UnionID获取途径

绑定了开发者帐号的小程序,可以通过以下途径获取 UnionID。

  1. 调用接口 qq.getUserInfo,从解密数据中获取 UnionID。注意本接口需要用户授权,请开发者妥善处理用户拒绝授权后的情况。

授权

部分接口需要经过用户授权同意才能调用。我们把这些接口按使用范围分成多个 scope ,用户选择对 scope 来进行授权,当授权给一个 scope 之后,其对应的所有接口都可以直接使用。 部分接口需要获得用户授权同意后才能调用。此类接口调用时:

  • 如果用户未接受或拒绝过此权限,会弹窗询问用户,用户点击同意后方可调用接口;
  • 如果用户已授权,可以直接调用接口;
  • 如果用户已拒绝授权,则不会出现弹窗,而是直接进入接口 fail 回调。请开发者兼容用户拒绝授权的场景。

获取用户授权设置

开发者可以使用 qq.getSetting 获取用户当前的授权状态。

打开设置界面

用户可以在小程序设置界面(「右上角」 - 「关于」 - 「右上角」 - 「设置」)中控制对该小程序的授权状态。 开发者可以调用 qq.openSetting 打开设置界面,引导用户开启授权。

提前发起授权请求 开发者可以使用 qq.authorize 在调用需授权 API 之前,提前向用户发起授权请求。

scope 列表

scope 对应接口 描述
scope.userInfo qq.getUserInfo 用户信息
scope.userLocation qq.getLocation, qq.chooseLocation 地理位置
scope.address qq.chooseAddress 通讯地址
scope.invoiceTitle qq.chooseInvoiceTitle 发票抬头
scope.invoice qq.chooseInvoice 获取发票
scope.qqrun qq.getQQRunData QQ运动步数
scope.record qq.startRecord 录音功能 scope.writePhotosAlbum qq.saveImageToPhotosAlbum, qq.saveVideoToPhotosAlbum 保存到相册
scope.camera <camera /> 组件 摄像头
setting.appMsgSubscribed qq.subscribeAppMsg 订阅消息(833以下版本使用scope.appMsgSubscribed,833及以上版本使用setting.appMsgSubscribed)
setting.addFriend 主动调用qq.authorize接口进行授权

注意事项

  1. qq.authorize({scope: "scope.userInfo"}),不会弹出授权窗口,请使用 <button open-type="getUserInfo"/>
  2. 需要授权 scope.userLocation 时必须配置地理位置用途说明。

开放数据校验与解密

小程序可以通过各种前端接口获取QQ提供的开放数据。考虑到开发者服务器也需要获取这些开放数据,QQ会对这些数据做签名和加密处理。开发者后台拿到开放数据后可以对数据进行校验签名和解密,来保证数据不被篡改。 签名校验以及数据加解密涉及用户的会话密钥 session_key。 开发者应该事先通过 qq.login 登录流程获取会话密钥 session_key 并保存在服务器。为了数据不被篡改,开发者不应该把 session_key 传到小程序客户端等服务器外的环境。

数据签名校验

为了确保开放接口返回用户数据的安全性,QQ会对明文数据进行签名。开发者可以根据业务需要对数据包进行签名校验,确保数据的完整性。

  1. 通过调用接口(如 qq.getUserInfo)获取数据时,接口会同时返回 rawData、signature,其中 signature = sha1( rawData + session_key )
  2. 开发者将 signature、rawData 发送到开发者服务器进行校验。服务器利用用户对应的 session_key 使用相同的算法计算出签名 signature2 ,比对 signature 与 signature2 即可校验数据的完整性。

如 qq.getUserInfo的数据校验: 接口返回的rawData:

{
  "nickName": "Band",
  "gender": 1,
  "language": "zh_CN",
  "city": "Guangzhou",
  "province": "Guangdong",
  "country": "CN",
  "avatarUrl": "http://thirdqq.qlogo.cn/qqapp/55107C3B8501CD7CBD90AEE4626E6D17/40"
}

用户的 session-key:

HyVFkGl5F5OQWJZZaNzBBg==

用于签名的字符串为:

{"nickName":"Band","gender":1,"language":"zh_CN","city":"Guangzhou","province":"Guangdong","country":"CN","avatarUrl":"http://thirdqq.qlogo.cn/qqapp/55107C3B8501CD7CBD90AEE4626E6D17/40"}HyVFkGl5F5OQWJZZaNzBBg==

使用sha1得到的结果为

75e81ceda165f4ffa64f4068af58c64b8f54b88c

加密数据解密算法 接口如果涉及敏感数据(如qq.getUserInfo当中的 openId 和 unionId),接口的明文内容将不包含这些敏感数据。开发者如需要获取敏感数据,需要对接口返回的加密数据(encryptedData) 进行对称解密。 解密算法如下:

  1. 对称解密使用的算法为 AES-128-CBC,数据采用PKCS#7填充。
  2. 对称解密的目标密文为 Base64_Decode(encryptedData)。
  3. 对称解密秘钥 aeskey = Base64_Decode(session_key), aeskey 是16字节。
  4. 对称解密算法初始向量 为Base64_Decode(iv),其中iv由数据接口返回。

另外,为了应用能校验数据的有效性,会在敏感数据加上数据水印( watermark )

watermark参数说明:

|参数|类型|说明| |appid|String|敏感数据归属 appId,开发者可校验此参数与自身 appId 是否一致| |timestamp|Int|敏感数据获取的时间戳, 开发者可以用于数据时效性校验|

如接口 qq.getUserInfo 敏感数据当中的 watermark:

{
  "openId": "OPENID",
  "nickName": "NICKNAME",
  "gender": GENDER,
  "city": "CITY",
  "province": "PROVINCE",
  "country": "COUNTRY",
  "avatarUrl": "AVATARURL",
  "unionId": "UNIONID",
  "watermark": {
    "appid": "APPID",
    "timestamp": TIMESTAMP
  }
}

注:

  1. 解密后得到的json数据根据需求可能会增加新的字段,旧字段不会改变和删减,开发者需要预留足够的空间

会话密钥 session_key 有效性 开发者如果遇到因为 session_key 不正确而校验签名失败或解密失败,请关注下面几个与 session_key 有关的注意事项。

  1. qq.login 调用时,用户的 session_key 可能会被更新而致使旧 session_key 失效(刷新机制存在最短周期,如果同一个用户短时间内多次调用 qq.login,并非每次调用都导致 session_key 刷新)。开发者应该在明确需要重新登录时才调用 qq.login,及时通过 code2Session 接口更新服务器存储的 session_key。
  2. QQ不会把 session_key 的有效期告知开发者。我们会根据用户使用小程序的行为对 session_key 进行续期。用户越频繁使用小程序,session_key 有效期越长。
  3. 开发者在 session_key 失效时,可以通过重新执行登录流程获取有效的 session_key。使用接口 qq.checkSession可以校验 session_key 是否有效,从而避免小程序反复执行登录流程。
  4. 当开发者在实现自定义登录态时,可以考虑以 session_key 有效期作为自身登录态有效期,也可以实现自定义的时效性策略。

获取手机号

暂不支持,后续版本将进行更新

生物认证

暂不支持,后续版本将进行更新

QQ小程序 插件使用组件的限制
QQ小程序 打开 App

推荐文章

推荐教程

最新教程